kkamegawa's weblog

Visual Studio,TFS,ALM,VSTS,DevOps関係のことについていろいろと書いていきます。Google Analyticsで解析を行っています

トップ > Active Directory > Active Directory Domain Servicesのドメイン名を変更するときに起きたトラブル

Active Directory Domain Servicesのドメイン名を変更するときに起きたトラブル

Active Directory トラブル

はじめに

自宅でActive Directory Domain Services(ADDS)を使い始めたとき…Windows Server 2003の頃でした。Windows 2000ではじめてActive Directoryが登場した時のドキュメントでは確か .local をsuffixとするドメイン名が例示されていた記憶があります。Windows Server 2003の頃には「トップレベルドメインもちゃんとした、実在のドメイン使いましょう」に代わっていたはずですが。

「どうせ自宅/実験用だしいいかー」と思っていたのですが、Microsoft 365が出てきて状況が変わってきます。もうこのまま進化しないと思われていたADDSはクラウドとの同期が前提になり、いろいろ不都合が起きてきました。Windowsクライアントはリプレースのタイミングでオンプレミス使わないAzure AD Joinに移行したのですが、サーバーはそのまま。別IDでもいいかと思っていたのですが、人に「Azure AD Joinいいですよ」とかすすめる手前、やっぱ自分でもやってみようかということで重い腰を上げてAAD Connect使うことにしました。

UPN書き換えでもいいのでしょうが、やはりドメインシンプルにするに限りますということで、M365で使っているドメインをオンプレミスでも使うことにして、リネーム開始です。いろいろドキュメントや先人の資料は見ていたのですが、いろいろはまりました。

参考資料

手順は探せばたくさん出てきますので、ここでは書かないでおきます。

Active Directoryのドメイン名を変更してみる(注:とってもやりたくない)。 – ひねもす庵

AD のドメイン名を変更する( rendom コマンド) - bnote

How to Rename Active Directory Domain? – TheITBros

Step-by-Step guide to rename Active Directory Domain Name - Technical Blog | REBELADMIN

learn.microsoft.com

手順としてはこのあたりの記事を参考にさせていただきました。ありがとうございます。

はまったところ

XMLファイルの編集をミスった

rendom /listコマンドでDomainlist.xmlというファイルが生成されて、そのファイルにある3カ所をエディタで新ドメイン名に編集して使用するのですが、一カ所忘れていて、gpfixupコマンドが失敗していました。これに気づくまで1時間くらい。3カ所あるので、忘れないようにしましょう。

ちなみにこうなると一度rendom /endで変更モードを終了させなくてはなりません。間違ったままでも再度やり直せば自分の場合は大丈夫でした。

グループポリシーオブジェクトが更新できる状態ではなかった

gpfixupコマンドが失敗する理由に悩んだのですが、グループポリシーオブジェクトを見てみたら既定のDefault Domain Policyの読み書きができなくなっていました。これは以前ディスクが壊れたときについでに吹っ飛んだので、デフォルトポリシーを新しく作ってそちらにリンクさせていたので実運用は問題ない…のですが書き込みできないとgpfixupコマンドは失敗するようです。

消そうにも組み込みポリシーは消せないので(いじればいいですが)、dcgpofixコマンドを使ってデフォルトを読み込みました。デフォルトポリシーはほかのものに変えているので、ロードしても問題ないかなということで。

これでgpfixupコマンドが正常に終わりました。エラーも出てこないのでかなりつらかった。

コンピューター名の変更などにかなり困った

やらないといけない、と書いているところは見つけられなかったのですが、うまくいかなかったのでコントロールパネルからドメインコントローラーのコンピュータ名のFQDNを直したり、ethernetの接続のdns suffixを直したりするとDNSがちゃんと反映されて正常に新ドメインのDNSレコードが正常にできました。

メンバサーバーも明示的にADに接続しなおしたけど、やらなくてよかったのかなぁ…やったらうまくいったのでトラブルシューティング時にはやってもいいかもしれません。

QNAPのActive Directory統合

これもQNAP側でActive Directoryの新ドメインに参加しなおしました。あと、DNSにQNAPの管理者アカウントのレコードがあって、「いらんだろ」と思って消したらADDSではないQNAPアカウントなのにログインできなくて焦りました😅。慌てて追加しなおしたら無事OK。

Azure Backupコンソールが使えなくなった(継続中)

これは継続中です。SQL Serverですらちゃんとつかえているのに、Azure Backupコンソールが使えなくなるとはどういう…。エラーとしては`The current operation failed due to an internal service error "Resource not provisioned in service stamp". Please retry the operation after some time. If the issue persists, please contact Microsoft supportとなっていて、かれこれ数時間このままなので、サポートに聞いてみようと思います。

なお、MMC.exeからAzure Backupスナップインを明示的に追加してもだめでした。

残作業

あと今日使っていないメンバーサーバーをゆっくりログインしてみます。DNS suffixが書き換わらなくなったときは「もう実験サーバーばかりだからADDS消してやり直すかなークライアントにも影響ないし」と思っていたのですが😅、何とかリカバリーできてよかったです。さて、AAD Connect使ってディレクトリ同期だ。